新SQL注入技术威胁Oracle数据库

日期:2008-4-28作者:Dennis Fisher翻译:Tina Guo来源:TechTarget中国 英文

Oracle   数据库   PL/SQL   侧面SQl注入   

【TechTarget中国原创】

数据库安全专家David Litchfield正在研究利用多种不需要输入的PL/SQL程序的新方法。他把这型技术描述为侧面SQl注入,可以对Oracle数据可进行远程攻击。

  这种攻击利用一些普通的数据类型,包括DATE和NUMBER,它们不需要使用用户的输入,所以通常不被认为可以攻击。但是,Litchfield在他关于侧面注入攻击的新文章中写道,使用一点创造性译码和一些Oracle数据可管理系统工作方式的知识,黑客就可以操作一些一般的功能。

  Litchfield是英国NGS Software公司的创始人之一,他说这个问题可能不会那么容易的攻击,但是特殊情况下,它可以被用于向数据库传输任意SQL命令。

  PL/SQL是Oracle公司的SQL(structured query language)的延伸。

  “总之,如果使用SYSDATE,那些不需要用户输入的功能和程序就有可能受到攻击。这里的教训总是会得到验证,防止这类攻击进入你的代码。第二个教训是DATE或者NUMBER不应该再被认为是安全的,也不会和注入携带者一样有用:这篇文章证明,他们是。”他写道。

  这类攻击工作模式如下:使用SYSDATE功能,黑客可以使用alter SESSION权限欺骗SQl编译器,接受任意的SQL数据作为DATE数据类型的输入。DATE_PROC使用变量V_DATE在调用SYSDATE功能后,设置数据。尽管如此,通过改变讨论(altering the session)和插入SQL命令,黑客可以迫使数据库执行他的命令。

  黑客的攻击不需要本地访问数据库。

  “可以通过远程完成,例如,借助一个Web应用程序,通过SQL注入漏洞,但是不是直接进入。” Litchfield在邮件采访中,如此说。“首先,我们攻击注入点来执行促进功能,这允许我们运行任意SQL,然后在这里可以使用这项技术。”

  Litchfield的文章中有意思的一点是DATE和NUMBER等数据类型被认为是“安全”的事实,意味着他们还没有受到攻击。最近几个月中,这类攻击越来越多,研究人员已经开始深入研究流形的应用程序,在有些情况下发现了严重的新型攻击携带者。

  去年夏天,Watchfire公司的研究人员,现在是IBM的一部分,他们发现攻击摇摆指示器的方法,这是一个被认为不能攻击的平常的程序失误。IBM的ISS部门的研究人员 Mark Dowd发表了一篇论文,详细指出了攻击NULL指示器解除参照。

  对他来说,Litchfield的新方法不是通过长时间的脑子里的工作,而是通过看电视产生的。

  他说:“同时,观看‘Bones’的一段情节,里面发生的一些事情让我想到不要接受默写认为真实东西,比如,在这种情况下,通过DATE和NUMBER数据类型进行SQL注入是不可能的。所以坐下来,想一想我在文章中提出的一些技术。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

数据库安全>更多

  • MongoDB勒索攻击蔓延原因:不安全配置

    攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门……与勒索软件攻击不同,其中数据被加密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。

  • 创纪录!Oracle关键补丁更新修复关键漏洞曝光

    本季度的Oracle关键补丁更新(CPU)提供了创纪录的276个漏洞的修复,其中包含高达19个CVSS 3.0评分为9.8的漏洞,所有这些漏洞都可远程利用而无需身份验证。

  • Guardium:近实时的数据安全性和监控

    IBM InfoSphere Guardium 解决方案能够保障企业数据中心(SAP、PeopleSoft、Cognos、Siebel 等) 中可信信息的安全性和完整性,并能够通过自动化异构环境中的整个遵从性审计流程降低成本。

  • 中小企业的数据库安全:三大方面要牢记

    随着日益复杂的攻击和不断上升的内部数据盗窃,数据库安全成为中小企业信息安全团队重点关注的焦点,超越了传统的认证、授权和访问控制。

相关推荐

  • Oracle现使用CVSS 3.0对漏洞进行评级

    Oracle今年4月关键补丁更新(Critical Patch Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安全漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响。

  • 为免攻击困扰 甲骨文弃用Java浏览器插件

    甲骨文公司宣布在下一版本的Java Development Kit中将弃用Java浏览器插件,该公司已经要求开发人员开始迁移Java applet到新的Java Web Start技术。

  • 专家观点:Oracle更新补丁应加快节奏

    Oracle在其新的季度更新中对超过50款产品修复了154个漏洞,不过专家称Oracle应该加快其更新节奏,至少是为了那些销量比较好的产品……

  • 金融数据如何实现安全自主可控?

    金融行业核心软硬件如操作系统、数据库、存储等普遍来自国外,国产化率较低,自主可控的压力较大,存在着难以预知的安全风险……

技术手册>更多

  • PDF安全使用策略指导手册

    PDF是企业常用的文件形式,但是随着企业对它的依赖性增长,PDF文件也越来越受到攻击者的关注。目前的PDF攻击采用壳代码(shellcode),它使恶意软件很难被发现和移除。然而企业需要用PDF文件来传输信息,尤其是敏感信息,所以企业应该重新评估其PDF安全策略,重视PDF的安全性。本迷你电子书将提供保护PDF文件安全的最佳实践,并且对何时使用PDF文件提出建议。

  • SQL注入攻击

    SQL注入是一种安全漏洞。它是对数据库驱动的应用程序攻击的一个特定类型。在这种攻击中,攻击者操纵网站基于Web的界面,迫使数据库执行不良SQL代码。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。而今天的SQL注入攻击者查找漏洞的技术更加先进。他们使用各种工具加快开发进程。

  • 信息安全人员从业指南

    随着黑客的攻击越来越广泛,企业信息安全问题也越来越突出。随着这种趋势不断增加,信息安全职务将变得越来越有价值,行业竞争也日趋激烈。职业管理、职业发展和职业规划在决定未来发展道路上正变得越来越重要。本技术手册将为您介绍信息安全职业、信息安全人员职业规划、信息安全行业薪酬问题,以及信息安全人员的职业生涯抉择。我相信这不仅仅是针对信息安全人员的从业指南,IT界的工作者都可以借鉴。

  • 数据库安全

    随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算